Ataques a RSA y certificados fraudulentos de Comodo

En las últimas dos semanas hemos estado siguiendo con atención dos incidencias en materia de seguridad informática que afectaban a dos de las compañías más ilustres en este campo.

Primero fue RSA quien anunció que habían sido víctimas de un ataque dirigido contra ellos y que los atacantes habían conseguido extraer información confidencial que afecta a uno de los productos más destacados de la compañía como son los SecurID. Este tipo de dispositivos generan un número de seis cifras que expira al poco tiempo y que, combinado con un PIN personal de cada usuario, proporciona una autenticación segura. Según parece, la información robada permitiría averiguar cómo generan estos dispositivos estos números de seis cifras, por lo que la mitad de este esquema de seguridad se habría visto comprometida.

Este hecho puede considerarse de una gravedad relativamente alta debido a que, entre los clientes más destacados de la compañía RSA se encuentran multitud de grandes empresas y gobiernos, incluido el de los Estados Unidos. Aun es pronto para evaluar las posibles consecuencias que el robo de esta información pudiera tener, en parte debido a que el PIN secreto de cada usuario debería ser eso mismo, secreto, y no ser revelado bajo ningún concepto. No obstante tampoco debemos descartar ataques dirigidos a usuarios específicos muy bien elaborados y que proporcionasen esa mitad faltante de la clave de autenticación.

Pero RSA no se encuentra sola en este tipo de incidencias puesto que, pocos días después, se descubría como un atacante desde una IP iraní había conseguido emitir una serie de certificados fraudulentos sin el consentimiento de la empresa certificadora, en este caso, Comodo. Este atacante luego procedió a emitir certificados fraudulentos de páginas reconocidas y con un elevado número de visitas como puedan ser www.google.com o login.live.com.

Al descubrirse estos certificados, varios navegadores como Google Chrome y Firefox empezaron a revocarlos y, poco después, los siguió Microsoft. De esta forma se evitaba que pudiesen ser usados de forma fraudulenta, suplantando páginas legítimas, y que los usuarios confiasen en su contenido. Al ver que el certificado emitido era reconocido como válido, el usuario no tendría ningún motivo para sospechar del peligro, pudiendo el atacante observar toda la información que el usuario envía a esa web, aun estando esta cifrada.

Estos dos incidentes en compañías de seguridad de reputada fama y experiencia contrastada nos sirven para demostrar que nadie está a salvo de los ciberdelincuentes. Con respecto al impacto que puedan tener estas incidencias sobre el usuario común, es difícil que la mayoría de nosotros usemos el tipo de dispositivo comprometido de la RSA, por lo que su alcance se limita a las grandes empresas y gobiernos que los usan y los secretos que estos guardan. El asunto de los certificados nos afecta de manera más directa y sería interesante que actualizásemos nuestro navegador o sistema operativo y sigamos los útiles consejos que proporcionan desde Hispasec. Desde el laboratorio de ESET en Ontinet.com seguiremos informando en el caso de que se produzcan novedades en estos asuntos.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje